CVE-2026-33701 in opentelemetry-java-instrumentation
Сводка
по VulDB • 13.05.2026
OpenTelemetry Java Instrumentation предоставляет возможности автоматической и ручной инструментации OpenTelemetry для Java. В версиях старше 2.26.1 инструментация RMI регистрировала пользовательскую конечную точку, которая десериализовывала входящие данные без применения фильтров сериализации. В JDK версии 16 и более ранних версий злоумышленник, имеющий сетевой доступ к порту JMX или RMI в инструментированном JVM, мог использовать эту уязвимость для потенциального достижения удаленного выполнения кода (RCE). Для эксплуатации этой уязвимости должны быть выполнены все три следующих условия: во-первых, OpenTelemetry Java Instrumentation подключен в качестве Java-агента (`-javaagent`) в Java 16 или более ранних версиях; во-вторых, порт JMX/RMI явно настроен через `-Dcom.sun.management.jmxremote.port` и доступен по сети; в-третьих, на classpath присутствует библиотека, совместимая с цепочкой гаджетов. Это приводит к произвольному удаленному выполнению кода с привилегиями пользователя, запустившего инструментированный JVM. Для JDK >= 17 никаких действий не требуется, но настоятельно рекомендуется обновление. Для JDK < 17 обновитесь до версии 2.26.1 или более поздней. В качестве временного решения установите системное свойство `-Dotel.instrumentation.rmi.enabled=false`, чтобы отключить интеграцию RMI.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.